Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Identitas dan manajemen akses di AWS CodeBuild
Akses ke AWS CodeBuild membutuhkan kredensi. Kredensyal tersebut harus memiliki izin untuk mengakses AWS sumber daya, seperti menyimpan dan mengambil artefak build di bucket S3 dan melihat Log Amazon untuk build. CloudWatch Bagian berikut menjelaskan bagaimana Anda dapat menggunakan [AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)(IAM) dan CodeBuild untuk membantu mengamankan akses ke sumber daya Anda:
# Ikhtisar mengelola izin akses ke sumber daya Anda AWS CodeBuild
Setiap AWS sumber daya dimiliki oleh AWS akun, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran).
**catatan**
Administrator akun (atau pengguna administrator) adalah pengguna dengan hak akses administrator. Untuk informasi selengkapnya, lihat [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
Ketika memberikan izin, Anda memutuskan orang yang mendapatkan izin, sumber daya yang dapat diakses, dan tindakan yang dapat dilakukan di sumber daya tersebut.
**Topics**
+ [AWS CodeBuild sumber daya dan operasi](#arn-formats)
+ [Memahami kepemilikan sumber daya](#understanding-resource-ownership)
+ [Mengelola akses ke sumber daya](#managing-access-resources)
+ [Menentukan elemen kebijakan: Tindakan, efek, dan penanggung jawab](#actions-effects-principals)
## AWS CodeBuild sumber daya dan operasi
Di AWS CodeBuild, sumber daya utama adalah proyek pembangunan. Dalam sebuah kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya tempat kebijakan berlaku. Build juga merupakan sumber daya dan telah ARNs dikaitkan dengan mereka. Untuk informasi selengkapnya, lihat [Nama Sumber Daya Amazon (ARN) dan Ruang Nama AWS Layanan](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) di. *Referensi Umum Amazon Web Services*
| Tipe sumber daya | Format ARN |
| --- | --- |
| Bangun proyek | `arn:aws:codebuild:region-ID:account-ID:project/project-name` |
| Build | `arn:aws:codebuild:region-ID:account-ID:build/build-ID` |
| Grup laporan | arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name |
| Laporan | arn:aws:codebuild:region-ID:account-ID:report/report-ID |
| Armada | `arn:aws:codebuild:region-ID:account-ID:fleet/fleet-ID` |
| Semua CodeBuild sumber daya | `arn:aws:codebuild:*` |
| Semua CodeBuild sumber daya yang dimiliki oleh akun yang ditentukan di AWS Wilayah yang ditentukan | `arn:aws:codebuild:region-ID:account-ID:*` |
**penting**
Saat menggunakan fitur kapasitas cadangan, data yang di-cache pada instance armada, termasuk file sumber, lapisan Docker, dan direktori cache yang ditentukan dalam buildspec, dapat diakses oleh proyek lain dalam akun yang sama. Ini dirancang dan memungkinkan proyek dalam akun yang sama untuk berbagi instance armada.
**catatan**
Sebagian besar AWS layanan memperlakukan titik dua (:) atau garis miring (/) sebagai karakter yang sama di ARNs. Namun, CodeBuild menggunakan kecocokan yang tepat dalam pola dan aturan sumber daya. Pastikan untuk menggunakan karakter yang benar saat membuat pola peristiwa sehingga cocok dengan sintaks ARN di sumber daya.
Misalnya, Anda dapat menunjukkan proyek build (*myBuildProject*) tertentu dalam pernyataan Anda menggunakan ARN sebagai berikut:
```
"Resource": "arn:aws:codebuild:us-east-2:123456789012:project/myBuildProject"
```
Untuk menentukan semua sumber daya, atau jika tindakan API tidak mendukung ARNs, gunakan karakter wildcard (\$1) dalam `Resource` elemen sebagai berikut:
```
"Resource": "*"
```
Beberapa tindakan CodeBuild API menerima beberapa sumber daya (misalnya,`BatchGetProjects`). Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma, sebagai berikut:
```
"Resource": [
"arn:aws:codebuild:us-east-2:123456789012:project/myBuildProject",
"arn:aws:codebuild:us-east-2:123456789012:project/myOtherBuildProject"
]
```
CodeBuild menyediakan satu set operasi untuk bekerja dengan CodeBuild sumber daya. Untuk daftar, lihat [AWS CodeBuild referensi izin](auth-and-access-control-permissions-reference.md).
## Memahami kepemilikan sumber daya
AWS Akun memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang membuat sumber daya. Secara khusus, pemilik sumber daya adalah AWS akun [entitas utama](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (yaitu, akun root, pengguna, atau peran IAM) yang mengautentikasi permintaan pembuatan sumber daya. Contoh berikut menggambarkan cara kerjanya:
+ Jika Anda menggunakan kredensi akun root AWS akun Anda untuk membuat aturan, AWS akun Anda adalah pemilik sumber daya. CodeBuild
+ Jika Anda membuat pengguna di AWS akun Anda dan memberikan izin untuk membuat CodeBuild sumber daya kepada pengguna tersebut, pengguna dapat membuat CodeBuild sumber daya. Namun, AWS akun Anda, tempat pengguna berada, memiliki CodeBuild sumber daya.
+ Jika Anda membuat peran IAM di AWS akun Anda dengan izin untuk membuat CodeBuild sumber daya, siapa pun yang dapat mengambil peran tersebut dapat membuat CodeBuild sumber daya. AWS Akun Anda, tempat peran itu berada, memiliki CodeBuild sumber daya.
## Mengelola akses ke sumber daya
Kebijakan izin menjelaskan siapa yang memiliki akses ke sumber daya mana.
**catatan**
Bagian ini membahas penggunaan IAM di AWS CodeBuild. Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi IAM lengkap, lihat [Apa yang Dimaksud dengan IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dalam *Panduan Pengguna IAM*. Untuk informasi tentang sintaksis dan deskripsi kebijakan IAM, lihat [Referensi Kebijakan IAM AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dalam *Panduan Pengguna IAM*.
Kebijakan yang terlampir pada identitas IAM disebut sebagai kebijakan berbasis identitas (kebijakan IAM). Kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis sumber daya. CodeBuild mendukung kebijakan berbasis identitas, dan kebijakan berbasis sumber daya untuk pembacaan tertentu hanya APIs untuk tujuan berbagi sumber daya lintas akun.
### Akses aman ke bucket S3
Kami sangat menyarankan agar Anda menyertakan izin berikut dalam peran IAM Anda untuk memverifikasi bucket S3 yang terkait dengan CodeBuild proyek Anda dimiliki oleh Anda atau seseorang yang Anda percayai. Izin ini tidak disertakan dalam kebijakan dan peran AWS terkelola. Anda harus menambahkannya sendiri.
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
Jika pemilik bucket S3 yang digunakan oleh project Anda berubah, Anda harus memverifikasi bahwa Anda masih memiliki bucket dan memperbarui izin dalam peran IAM Anda jika tidak. Untuk informasi selengkapnya, lihat [Memungkinkan pengguna untuk berinteraksi dengan CodeBuild](setting-up-service-permissions-group.md) dan [Memungkinkan CodeBuild untuk berinteraksi dengan AWS layanan lain](setting-up-service-role.md).
## Menentukan elemen kebijakan: Tindakan, efek, dan penanggung jawab
Untuk setiap AWS CodeBuild sumber daya, layanan mendefinisikan satu set operasi API. Untuk memberikan izin untuk operasi API ini, CodeBuild tentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Beberapa operasi API dapat memerlukan izin untuk lebih dari satu tindakan untuk melakukan operasi API. Untuk informasi selengkapnya, lihat [AWS CodeBuild sumber daya dan operasi](#arn-formats) dan [AWS CodeBuild referensi izin](auth-and-access-control-permissions-reference.md).
Berikut ini adalah elemen-elemen kebijakan dasar:
+ **Sumber daya** – Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diberlakukan oleh kebijakan tersebut.
+ **Tindakan** – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, izin `codebuild:CreateProject` memungkinkan pengguna melakukan operasi `CreateProject`.
+ **Pengaruh** – Anda menetapkan pengaruh, baik mengizinkan atau menolak, ketika pengguna meminta tindakan tertentu. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya. Anda dapat melakukan ini untuk memastikan pengguna tidak dapat mengakses sumber daya, meskipun kebijakan lain memberikan akses.
+ **Prinsipal** – Dalam kebijakan berbasis identitas (kebijakan IAM), pengguna yang kebijakannya terlampir adalah prinsipal implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izinnya.
Untuk mempelajari selengkapnya tentang sintaksis dan deskripsi kebijakan IAM, lihat [Referensi Kebijakan IAM AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dalam *Panduan Pengguna IAM*.
Untuk tabel yang menunjukkan semua tindakan CodeBuild API dan sumber daya yang diterapkan, lihat[AWS CodeBuild referensi izin](auth-and-access-control-permissions-reference.md).
# Menggunakan kebijakan berbasis identitas untuk AWS CodeBuild
Topik ini memberikan contoh kebijakan berbasis identitas yang menunjukkan bagaimana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran) dan dengan demikian memberikan izin untuk melakukan operasi AWS CodeBuild sumber daya.
**penting**
Kami menyarankan Anda terlebih dahulu meninjau topik pengantar yang menjelaskan konsep dasar dan opsi yang tersedia untuk mengelola akses ke CodeBuild sumber daya Anda. Untuk informasi selengkapnya, lihat [Ikhtisar mengelola izin akses ke sumber daya Anda AWS CodeBuild](auth-and-access-control-iam-access-control-identity-based.md).
**Topics**
+ [Izin diperlukan untuk menggunakan konsol AWS CodeBuild](#console-permissions)
+ [Izin diperlukan untuk terhubung AWS CodeBuild ke Amazon Elastic Container Registry](#ecr-policies)
+ [Izin yang diperlukan untuk AWS CodeBuild konsol untuk terhubung ke penyedia sumber](#console-policies)
+ [AWS kebijakan terkelola (standar) untuk AWS CodeBuild](#managed-policies)
+ [CodeBuild kebijakan dan pemberitahuan terkelola](#notifications-permissions)
+ [CodeBuild pembaruan kebijakan AWS terkelola](#security-iam-awsmanpol-updates)
+ [Contoh kebijakan yang dikelola pelanggan](#customer-managed-policies)
Berikut ini menunjukkan contoh kebijakan izin yang memungkinkan pengguna untuk mendapatkan informasi tentang proyek build hanya di `us-east-2` wilayah untuk akun `123456789012` untuk setiap proyek build yang dimulai dengan nama: `my`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetProjects",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
## Izin diperlukan untuk menggunakan konsol AWS CodeBuild
Pengguna yang menggunakan AWS CodeBuild konsol harus memiliki seperangkat izin minimum yang memungkinkan pengguna menjelaskan AWS sumber daya lain untuk AWS akun tersebut. Anda harus memiliki izin dari layanan berikut:
+ AWS CodeBuild
+ Amazon CloudWatch
+ CodeCommit (jika Anda menyimpan kode sumber Anda di AWS CodeCommit repositori)
+ Amazon Elastic Container Registry (Amazon ECR) (jika Anda menggunakan lingkungan build yang mengandalkan image Docker di repositori Amazon ECR)
**catatan**
Per 26 Juli 2022, kebijakan IAM default telah diperbarui. Untuk informasi selengkapnya, lihat [Izin diperlukan untuk terhubung AWS CodeBuild ke Amazon Elastic Container Registry](#ecr-policies).
+ Amazon Elastic Container Service (Amazon ECS) (jika Anda menggunakan lingkungan build yang mengandalkan image Docker di repositori Amazon ECR)
+ AWS Identity and Access Management (IAM)
+ AWS Key Management Service (AWS KMS)
+ Amazon Simple Storage Service (Amazon S3)
Jika Anda membuat kebijakan IAM yang lebih ketat dari izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana dimaksudkan.
## Izin diperlukan untuk terhubung AWS CodeBuild ke Amazon Elastic Container Registry
Per 26 Juli 2022, AWS CodeBuild telah memperbarui kebijakan IAM default untuk izin Amazon ECR. Izin berikut telah dihapus dari kebijakan default:
```
"ecr:PutImage",
"ecr:InitiateLayerUpload",
"ecr:UploadLayerPart",
"ecr:CompleteLayerUpload"
```
Untuk CodeBuild proyek yang dibuat sebelum 26 Juli 2022, kami sarankan Anda memperbarui kebijakan Anda dengan kebijakan ECR Amazon berikut:
```
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
]
```
Untuk informasi selengkapnya tentang memperbarui kebijakan Anda, lihat[Memungkinkan pengguna untuk berinteraksi dengan CodeBuild](setting-up-service-permissions-group.md).
## Izin yang diperlukan untuk AWS CodeBuild konsol untuk terhubung ke penyedia sumber
AWS CodeBuild Konsol menggunakan tindakan API berikut untuk terhubung ke penyedia sumber (misalnya, GitHub repositori).
+ `codebuild:ListConnectedOAuthAccounts`
+ `codebuild:ListRepositories`
+ `codebuild:PersistOAuthToken`
+ `codebuild:ImportSourceCredentials`
Anda dapat mengaitkan penyedia sumber (seperti GitHub repositori) dengan proyek build menggunakan konsol. AWS CodeBuild Untuk melakukannya, Anda harus terlebih dahulu menambahkan tindakan API sebelumnya ke kebijakan akses IAM yang terkait dengan pengguna yang Anda gunakan untuk mengakses konsol. AWS CodeBuild
Tindakan `ListConnectedOAuthAccounts``ListRepositories`,, dan `PersistOAuthToken` API tidak dimaksudkan untuk dipanggil oleh kode Anda. Oleh karena itu, tindakan API ini tidak termasuk dalam AWS CLI dan AWS SDKs.
## AWS kebijakan terkelola (standar) untuk AWS CodeBuild
AWS mengatasi banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWS Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda dapat menghindari keharusan menyelidiki izin apa yang diperlukan. Kebijakan terkelola CodeBuild juga memberikan izin untuk melakukan operasi di layanan lain, seperti IAM, Amazon EC2 AWS CodeCommit, Amazon ECR, Amazon SNS, CloudWatch dan Amazon Events, sebagaimana diperlukan untuk tanggung jawab bagi pengguna yang telah diberikan kebijakan tersebut. Misalnya, `AWSCodeBuildAdminAccess` kebijakan tersebut adalah kebijakan pengguna tingkat administratif yang memungkinkan pengguna dengan kebijakan ini untuk membuat dan mengelola aturan CloudWatch Acara untuk build proyek dan topik Amazon SNS untuk pemberitahuan tentang peristiwa terkait proyek (topik yang namanya diawali`arn:aws:codebuild:`), serta mengelola proyek dan grup laporan di. CodeBuild Untuk informasi selengkapnya, lihat [Kebijakan Terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untuk AWS CodeBuild.
**AWSCodeBuildAdminAccess**
Menyediakan akses penuh untuk CodeBuild menyertakan izin untuk mengelola proyek CodeBuild pembangunan.
**AWSCodeBuildDeveloperAccess**
Menyediakan akses ke CodeBuild tetapi tidak mengizinkan administrasi proyek build.
**AWSCodeBuildReadOnlyAccess**
Menyediakan akses hanya-baca ke. CodeBuild
Untuk mengakses artefak keluaran build yang CodeBuild dibuat, Anda juga harus melampirkan kebijakan AWS terkelola bernama`AmazonS3ReadOnlyAccess`.
Untuk membuat dan mengelola peran CodeBuild layanan, Anda juga harus melampirkan kebijakan AWS terkelola bernama`IAMFullAccess`.
Anda juga dapat membuat kebijakan IAM khusus Anda sendiri untuk memberikan izin untuk CodeBuild tindakan dan sumber daya. Anda dapat menyematkan kebijakan khusus ini untuk pengguna atau grup yang memerlukan izin tersebut.
**Topics**
+ [AWSCodeBuildAdminAccess](#admin-access-policy)
+ [AWSCodeBuildDeveloperAccess](#developer-access-policy)
+ [AWSCodeBuildReadOnlyAccess](#read-only-access-policy)
### AWSCodeBuildAdminAccess
`AWSCodeBuildAdminAccess`Kebijakan ini menyediakan akses penuh ke CodeBuild, termasuk izin untuk mengelola proyek CodeBuild build. Terapkan kebijakan ini hanya kepada pengguna tingkat administratif untuk memberi mereka kontrol penuh atas CodeBuild proyek, grup laporan, dan sumber daya terkait di AWS akun Anda, termasuk kemampuan untuk menghapus proyek dan grup laporan.
Untuk kebijakan terkelola lengkap, lihat [ AWSCodeBuildAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeBuildAdminAccess.html)di referensi kebijakan terkelola IAM.
### AWSCodeBuildDeveloperAccess
`AWSCodeBuildDeveloperAccess`Kebijakan ini memungkinkan akses ke semua fungsionalitas CodeBuild dan memproyeksikan dan melaporkan sumber daya terkait grup. Kebijakan ini tidak mengizinkan pengguna untuk menghapus CodeBuild proyek atau grup laporan, atau sumber daya terkait di AWS layanan lain, seperti CloudWatch Acara. Kami merekomendasikan bahwa Anda menerapkan kebijakan ini untuk sebagian besar pengguna.
Untuk kebijakan terkelola lengkap, lihat [ AWSCodeBuildDeveloperAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeBuildDeveloperAccess.html)di referensi kebijakan terkelola IAM.
### AWSCodeBuildReadOnlyAccess
`AWSCodeBuildReadOnlyAccess`Kebijakan ini memberikan akses hanya-baca ke CodeBuild dan sumber daya terkait di layanan lain. AWS Terapkan kebijakan ini kepada pengguna yang dapat melihat dan menjalankan build, melihat proyek, dan melihat grup laporan, tetapi tidak dapat membuat perubahan apa pun padanya.
Untuk kebijakan terkelola lengkap, lihat [ AWSCodeBuildReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeBuildReadOnlyAccess.xml)di referensi kebijakan terkelola IAM.
## CodeBuild kebijakan dan pemberitahuan terkelola
CodeBuild mendukung pemberitahuan, yang dapat memberi tahu pengguna tentang perubahan penting untuk membangun proyek. Kebijakan terkelola untuk CodeBuild menyertakan pernyataan kebijakan untuk fungsionalitas notifikasi. Untuk informasi selengkapnya, lihat [Apa itu notifikasi?](https://docs.aws.amazon.com/codestar-notifications/latest/userguide/welcome.html).
### Izin yang terkait dengan notifikasi dalam kebijakan terkelola hanya-baca
Kebijakan terkelola `AWSCodeBuildReadOnlyAccess` mencakup pernyataan berikut untuk mengizinkan akses penuh ke notifikasi. Pengguna yang menerapkan kebijakan terkelola ini dapat melihat pemberitahuan untuk sumber daya, tetapi tidak dapat membuat, mengelola, atau berlangganan ke sumber daya tersebut.
```
{
"Sid": "CodeStarNotificationsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:DescribeNotificationRule"
],
"Resource": "*",
"Condition" : {
"ArnLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codebuild:*:*:project/*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListEventTypes",
"codestar-notifications:ListTargets"
],
"Resource": "*"
}
```
### Izin terkait notifikasi dalam kebijakan terkelola lainnya
Kebijakan terkelola `AWSCodeBuildDeveloperAccess` mencakup pernyataan berikut untuk mengizinkan pengguna membuat, mengedit, dan berlangganan notifikasi. Mereka tidak dapat menghapus aturan notifikasi atau mengelola tag untuk sumber daya.
```
{
"Sid": "CodeStarNotificationsReadWriteAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe"
],
"Resource": "*",
"Condition" : {
"ArnLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codebuild:*:*:project/*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:ListEventTypes"
],
"Resource": "*"
},
{
"Sid": "SNSTopicListAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsChatbotAccess",
"Effect": "Allow",
"Action": [
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:ListMicrosoftTeamsChannelConfigurations"
],
"Resource": "*"
}
```
Untuk informasi selengkapnya tentang IAM dan notifikasi, lihat [Identity and Access Managementuntuk AWS CodeStar Pemberitahuan](https://docs.aws.amazon.com/codestar-notifications/latest/userguide/security-iam.html).
## CodeBuild pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola CodeBuild sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed on. [AWS CodeBuild Riwayat dokumen Panduan Pengguna](history.md)
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| `AWSCodeBuildAdminAccess`dan `AWSCodeBuildDeveloperAccess` — Perbarui kebijakan yang ada | CodeBuild menambahkan `ssmmessages:OpenDataChannel` izin ke kebijakan ini untuk mendukung debugging build interaktif Session Manager. `AWSCodeBuildDeveloperAccess`Kebijakan `AWSCodeBuildAdminAccess` dan sekarang menyertakan `ssmmessages:OpenDataChannel` tindakan untuk sumber daya sesi Manajer Sesi (`arn:aws:ssm:*:*:session/*`) untuk mendukung penegakan SiGv4 pada API ini WebSocket . | Desember 1, 2025 |
| `AWSCodeBuildAdminAccess`,`AWSCodeBuildDeveloperAccess`, dan `AWSCodeBuildReadOnlyAccess` — Perbarui ke kebijakan yang ada | CodeBuild memperbarui sumber daya ke kebijakan ini. `AWSCodeBuildReadOnlyAccess`Kebijakan`AWSCodeBuildAdminAccess`,`AWSCodeBuildDeveloperAccess`, dan telah diubah untuk memperbarui sumber daya yang ada. Sumber daya asli `arn:aws:codebuild:*` telah diperbarui ke`arn:aws:codebuild:*:*:project/*`. | November 15, 2024 |
| `AWSCodeBuildAdminAccess`,`AWSCodeBuildDeveloperAccess`, dan `AWSCodeBuildReadOnlyAccess` — Perbarui ke kebijakan yang ada | CodeBuild menambahkan sumber daya ke kebijakan ini untuk mendukung AWS CodeConnections rebranding. `AWSCodeBuildReadOnlyAccess`Kebijakan`AWSCodeBuildAdminAccess`,`AWSCodeBuildDeveloperAccess`, dan telah diubah untuk menambahkan sumber daya,`arn:aws:codeconnections:*:*:*`. | April 18, 2024 |
| `AWSCodeBuildAdminAccess`dan `AWSCodeBuildDeveloperAccess` — Perbarui ke kebijakan yang ada | CodeBuild menambahkan izin ke kebijakan ini untuk mendukung jenis pemberitahuan tambahan menggunakan Pengembang Amazon Q di aplikasi obrolan. `AWSCodeBuildDeveloperAccess`Kebijakan `AWSCodeBuildAdminAccess` dan telah diubah untuk menambahkan izin,`chatbot:ListMicrosoftTeamsChannelConfigurations`. | 16 Mei 2023 |
| CodeBuild mulai melacak perubahan | CodeBuild mulai melacak perubahan untuk kebijakan yang AWS dikelola. | Mei 16, 2021 |
## Contoh kebijakan yang dikelola pelanggan
Di bagian ini, Anda dapat menemukan contoh kebijakan pengguna yang memberikan izin untuk AWS CodeBuild tindakan. Kebijakan ini berfungsi saat Anda menggunakan CodeBuild API, AWS SDKs, atau AWS CLI. Saat menggunakan konsol, Anda harus memberikan izin tambahan khusus konsol. Untuk informasi, lihat [Izin diperlukan untuk menggunakan konsol AWS CodeBuild](#console-permissions).
Anda dapat menggunakan contoh kebijakan IAM berikut untuk membatasi CodeBuild akses bagi pengguna dan peran Anda.
**Topics**
+ [Memungkinkan pengguna untuk mendapatkan informasi tentang proyek build](#customer-managed-policies-example-batch-get-projects)
+ [Memungkinkan pengguna untuk mendapatkan informasi tentang armada](#customer-managed-policies-get-information-about-fleets)
+ [Memungkinkan pengguna untuk mendapatkan informasi tentang grup laporan](#customer-managed-policies-get-information-about-report-group)
+ [Memungkinkan pengguna untuk mendapatkan informasi tentang laporan](#customer-managed-policies-get-information-about-reports)
+ [Izinkan pengguna membuat proyek pembangunan](#customer-managed-policies-example-create-project)
+ [Memungkinkan pengguna untuk membuat armada](#customer-managed-policies-example-create-fleet)
+ [Izinkan pengguna membuat grup laporan](#customer-managed-policies-example-create-report-group)
+ [Memungkinkan pengguna untuk menghapus armada](#customer-managed-policies-example-delete-fleet)
+ [Izinkan pengguna menghapus grup laporan](#customer-managed-policies-example-delete-report-group)
+ [Memungkinkan pengguna untuk menghapus laporan](#customer-managed-policies-example-delete-report)
+ [Izinkan pengguna untuk menghapus proyek build](#customer-managed-policies-example-delete-project)
+ [Izinkan pengguna mendapatkan daftar nama proyek build](#customer-managed-policies-example-list-projects)
+ [Izinkan pengguna mengubah informasi tentang proyek pembangunan](#customer-managed-policies-example-update-project)
+ [Memungkinkan pengguna untuk mengubah armada](#customer-managed-policies-example-change-fleet)
+ [Izinkan pengguna mengubah grup laporan](#customer-managed-policies-example-change-report-group)
+ [Memungkinkan pengguna untuk mendapatkan informasi tentang build](#customer-managed-policies-example-batch-get-builds)
+ [Izinkan pengguna mendapatkan daftar build IDs untuk proyek build](#customer-managed-policies-example-list-builds-for-project)
+ [Izinkan pengguna mendapatkan daftar build IDs](#customer-managed-policies-example-list-builds)
+ [Memungkinkan pengguna untuk mendapatkan daftar armada](#customer-managed-policies-example-get-list-of-fleets)
+ [Izinkan pengguna untuk mendapatkan daftar grup laporan](#customer-managed-policies-example-get-list-of-report-groups)
+ [Memungkinkan pengguna untuk mendapatkan daftar laporan](#customer-managed-policies-example-get-list-of-reports)
+ [Memungkinkan pengguna untuk mendapatkan daftar laporan untuk grup laporan](#customer-managed-policies-example-get-list-of-reports-for-report-group)
+ [Memungkinkan pengguna untuk mendapatkan daftar kasus uji untuk laporan](#customer-managed-policies-example-get-list-of-test-cases-for-report)
+ [Izinkan pengguna untuk mulai menjalankan build](#customer-managed-policies-example-start-build)
+ [Izinkan pengguna untuk mencoba menghentikan build](#customer-managed-policies-example-stop-build)
+ [Izinkan pengguna mencoba menghapus build](#customer-managed-policies-example-delete-builds)
+ [Izinkan pengguna untuk mendapatkan informasi tentang gambar Docker yang dikelola oleh CodeBuild](#customer-managed-policies-example-list-curated-environment-images)
+ [Izinkan pengguna menambahkan kebijakan izin untuk peran layanan armada](#customer-managed-policies-example-permission-policy-fleet-service-role)
+ [Izinkan CodeBuild akses ke AWS layanan yang diperlukan untuk membuat antarmuka jaringan VPC](#customer-managed-policies-example-create-vpc-network-interface)
+ [Gunakan pernyataan penolakan untuk mencegah terputusnya sambungan AWS CodeBuild dari penyedia sumber](#customer-managed-policies-example-deny-disconnect)
### Memungkinkan pengguna untuk mendapatkan informasi tentang proyek build
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mendapatkan informasi tentang proyek build di `us-east-2` Wilayah `123456789012` untuk memperhitungkan setiap proyek build yang dimulai dengan nama`my`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetProjects",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
### Memungkinkan pengguna untuk mendapatkan informasi tentang armada
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mendapatkan informasi tentang armada di `us-east-2` Wilayah untuk akun`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetFleets",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:fleet/*"
}
]
}
```
------
### Memungkinkan pengguna untuk mendapatkan informasi tentang grup laporan
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mendapatkan informasi tentang grup laporan di `us-east-2` Wilayah untuk akun`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetReportGroups",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Memungkinkan pengguna untuk mendapatkan informasi tentang laporan
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mendapatkan informasi tentang laporan di `us-east-2` Wilayah untuk akun`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetReports",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Izinkan pengguna membuat proyek pembangunan
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk membuat proyek build dengan nama apa pun tetapi hanya di `us-east-2` Wilayah untuk akun `123456789012` dan hanya menggunakan peran CodeBuild layanan yang ditentukan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:CreateProject",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/CodeBuildServiceRole"
}
]
}
```
------
Pernyataan kebijakan contoh berikut memungkinkan pengguna untuk membuat proyek build dengan nama apa pun tetapi hanya di `us-east-2` Wilayah untuk akun `123456789012` dan hanya menggunakan peran CodeBuild layanan yang ditentukan. Ini juga memberlakukan bahwa pengguna hanya dapat menggunakan peran layanan yang ditentukan dengan AWS CodeBuild dan bukan AWS layanan lain.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:CreateProject",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/CodeBuildServiceRole",
"Condition": {
"StringEquals": {"iam:PassedToService": "codebuild.amazonaws.com"}
}
}
]
}
```
------
### Memungkinkan pengguna untuk membuat armada
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk membuat armada di `us-east-2` Wilayah untuk akun`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:CreateFleet",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:fleet/*"
}
]
}
```
------
### Izinkan pengguna membuat grup laporan
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk membuat grup laporan di `us-east-2` Wilayah untuk akun`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:CreateReportGroup",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Memungkinkan pengguna untuk menghapus armada
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk menghapus armada di `us-east-2` Wilayah untuk akun`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:DeleteFleet",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:fleet/*"
}
]
}
```
------
### Izinkan pengguna menghapus grup laporan
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk menghapus grup laporan di `us-east-2` Wilayah untuk akun`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:DeleteReportGroup",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Memungkinkan pengguna untuk menghapus laporan
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk menghapus laporan di `us-east-2` Wilayah untuk akun`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:DeleteReport",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Izinkan pengguna untuk menghapus proyek build
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk menghapus proyek build di `us-east-2` Wilayah untuk akun `123456789012` untuk setiap proyek build yang dimulai dengan nama`my`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:DeleteProject",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
### Izinkan pengguna mendapatkan daftar nama proyek build
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mendapatkan daftar nama proyek build untuk akun yang sama:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListProjects",
"Resource": "*"
}
]
}
```
------
### Izinkan pengguna mengubah informasi tentang proyek pembangunan
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mengubah informasi tentang proyek build dengan nama apa pun tetapi hanya di `us-east-2` Wilayah untuk akun `123456789012` dan hanya menggunakan peran AWS CodeBuild layanan yang ditentukan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:UpdateProject",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/CodeBuildServiceRole"
}
]
}
```
------
### Memungkinkan pengguna untuk mengubah armada
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mengubah armada di `us-east-2` Wilayah untuk akun`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:UpdateFleet",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:fleet/*"
}
]
}
```
------
### Izinkan pengguna mengubah grup laporan
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mengubah grup laporan di `us-east-2` Wilayah untuk akun`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:UpdateReportGroup",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Memungkinkan pengguna untuk mendapatkan informasi tentang build
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mendapatkan informasi tentang build di `us-east-2` Wilayah `123456789012` untuk akun proyek build bernama `my-build-project` dan`my-other-build-project`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchGetBuilds",
"Resource": [
"arn:aws:codebuild:us-east-2:111122223333:project/my-build-project",
"arn:aws:codebuild:us-east-2:111122223333:project/my-other-build-project"
]
}
]
}
```
------
### Izinkan pengguna mendapatkan daftar build IDs untuk proyek build
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mendapatkan daftar build IDs di `us-east-2` Region `123456789012` untuk akun proyek build bernama `my-build-project` dan`my-other-build-project`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListBuildsForProject",
"Resource": [
"arn:aws:codebuild:us-east-2:111122223333:project/my-build-project",
"arn:aws:codebuild:us-east-2:111122223333:project/my-other-build-project"
]
}
]
}
```
------
### Izinkan pengguna mendapatkan daftar build IDs
Contoh pernyataan kebijakan berikut memungkinkan pengguna mendapatkan daftar semua build IDs untuk akun yang sama:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListBuilds",
"Resource": "*"
}
]
}
```
------
### Memungkinkan pengguna untuk mendapatkan daftar armada
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mendapatkan daftar armada di `us-east-2` Wilayah untuk akun`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListFleets",
"Resource": "*"
}
]
}
```
------
### Izinkan pengguna untuk mendapatkan daftar grup laporan
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mendapatkan daftar grup laporan di `us-east-2` Wilayah untuk akun`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListReportGroups",
"Resource": "*"
}
]
}
```
------
### Memungkinkan pengguna untuk mendapatkan daftar laporan
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mendapatkan daftar laporan di `us-east-2` Wilayah untuk akun`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListReports",
"Resource": "*"
}
]
}
```
------
### Memungkinkan pengguna untuk mendapatkan daftar laporan untuk grup laporan
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mendapatkan daftar laporan untuk grup laporan di `us-east-2` Wilayah untuk akun`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListReportsForReportGroup",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Memungkinkan pengguna untuk mendapatkan daftar kasus uji untuk laporan
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mendapatkan daftar kasus uji untuk laporan di `us-east-2` Wilayah untuk akun`123456789012`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:DescribeTestCases",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:report-group/*"
}
]
}
```
------
### Izinkan pengguna untuk mulai menjalankan build
Contoh pernyataan kebijakan berikut memungkinkan pengguna menjalankan build di `us-east-2` Region `123456789012` untuk akun proyek build yang dimulai dengan nama: `my`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:StartBuild",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
### Izinkan pengguna untuk mencoba menghentikan build
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mencoba menghentikan menjalankan build hanya di `us-east-2` wilayah `123456789012` untuk memperhitungkan setiap proyek build yang dimulai dengan nama: `my`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:StopBuild",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
### Izinkan pengguna mencoba menghapus build
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mencoba menghapus build hanya di `us-east-2` Region untuk akun `123456789012` untuk setiap proyek build yang dimulai dengan nama: `my`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:BatchDeleteBuilds",
"Resource": "arn:aws:codebuild:us-east-2:111122223333:project/my*"
}
]
}
```
------
### Izinkan pengguna untuk mendapatkan informasi tentang gambar Docker yang dikelola oleh CodeBuild
Contoh pernyataan kebijakan berikut memungkinkan pengguna untuk mendapatkan informasi tentang semua gambar Docker yang dikelola oleh CodeBuild:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codebuild:ListCuratedEnvironmentImages",
"Resource": "*"
}
]
}
```
------
### Izinkan pengguna menambahkan kebijakan izin untuk peran layanan armada
Contoh pernyataan kebijakan sumber daya berikut memungkinkan pengguna untuk menambahkan kebijakan izin VPC untuk peran layanan armada:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeBuildFleetVpcCreateNI",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:us-west-2:111122223333:subnet/subnet-id-1",
"arn:aws:ec2:us-west-2:111122223333:security-group/security-group-id-1",
"arn:aws:ec2:us-west-2:111122223333:network-interface/*"
]
},
{
"Sid": "CodeBuildFleetVpcPermission",
"Effect": "Allow",
"Action": [
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface"
],
"Resource": "*"
},
{
"Sid": "CodeBuildFleetVpcNIPermission",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:us-west-2:111122223333:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:Subnet": [
"arn:aws:ec2:us-west-2:111122223333:subnet/subnet-id-1"
]
}
}
}
]
}
```
------
Contoh pernyataan kebijakan sumber daya berikut memungkinkan pengguna menambahkan kebijakan izin Amazon Managed Image (AMI) khusus untuk peran layanan armada:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeImages",
"Resource": "*"
}
]
}
```
------
Contoh pernyataan kebijakan kepercayaan berikut memungkinkan pengguna untuk menambahkan kebijakan izin untuk peran layanan armada:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeBuildFleetVPCTrustPolicy",
"Effect": "Allow",
"Principal": {
"Service": "codebuild.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
### Izinkan CodeBuild akses ke AWS layanan yang diperlukan untuk membuat antarmuka jaringan VPC
Contoh pernyataan kebijakan berikut memberikan AWS CodeBuild izin untuk membuat antarmuka jaringan di VPC dengan dua subnet:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:us-west-2:111122223333:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:AuthorizedService": "codebuild.amazonaws.com"
},
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:us-west-2:111122223333:subnet/subnet-id-1",
"arn:aws:ec2:us-west-2:111122223333:subnet/subnet-id-2"
]
}
}
}
]
}
```
------
### Gunakan pernyataan penolakan untuk mencegah terputusnya sambungan AWS CodeBuild dari penyedia sumber
Contoh pernyataan kebijakan berikut menggunakan pernyataan penolakan untuk mencegah terputus AWS CodeBuild dari penyedia sumber. Ini menggunakan`codebuild:DeleteOAuthToken`, yang merupakan kebalikan dari `codebuild:PersistOAuthToken` dan`codebuild:ImportSourceCredentials`, untuk terhubung dengan penyedia sumber. Untuk informasi selengkapnya, lihat [Izin yang diperlukan untuk AWS CodeBuild konsol untuk terhubung ke penyedia sumber](#console-policies).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "codebuild:DeleteOAuthToken",
"Resource": "*"
}
]
}
```
------
# AWS CodeBuild referensi izin
Anda dapat menggunakan kunci kondisi AWS-wide dalam AWS CodeBuild kebijakan Anda untuk menyatakan kondisi. Untuk daftar, lihat [Kunci yang Tersedia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) di *Panduan Pengguna IAM*.
Anda menentukan tindakan di bidang `Action` kebijakan. Untuk menentukan tindakan, gunakan prefiks `codebuild:` diikuti dengan nama operasi API (misalnya `codebuild:CreateProject` dan `codebuild:StartBuild`). Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma (misalnya, `"Action": [ "codebuild:CreateProject", "codebuild:StartBuild" ]`).
**Menggunakan Karakter Wildcard**
Anda menentukan ARN, dengan atau tanpa karakter wildcard (\$1), sebagai nilai sumber daya dalam bidang `Resource` kebijakan. Anda bisa menggunakan wildcard untuk menentukan beberapa tindakan atau sumber daya. Misalnya, `codebuild:*` menentukan semua CodeBuild tindakan dan `codebuild:Batch*` menentukan semua CodeBuild tindakan yang dimulai dengan kata. `Batch` Contoh berikut memberikan akses ke semua proyek build dengan nama yang dimulai dengan`my`:
```
arn:aws:codebuild:us-east-2:123456789012:project/my*
```CodeBuild Operasi API dan izin yang diperlukan untuk tindakan
BatchDeleteBuilds
**Tindakan:** `codebuild:BatchDeleteBuilds`
Diperlukan untuk menghapus build.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
BatchGetBuilds
**Tindakan:** `codebuild:BatchGetBuilds`
Diperlukan untuk mendapatkan informasi tentang build.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
BatchGetProjects
**Tindakan:** `codebuild:BatchGetProjects`
Diperlukan untuk mendapatkan informasi tentang membangun proyek.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
BatchGetReportGroups
**Tindakan:** `codebuild:BatchGetReportGroups`
Diperlukan untuk mendapatkan informasi tentang grup laporan.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
BatchGetReports
**Tindakan:** `codebuild:BatchGetReports`
Diperlukan untuk mendapatkan informasi tentang laporan.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
BatchPutTestCases¹
**Tindakan:** `codebuild:BatchPutTestCases`
Diperlukan untuk membuat atau memperbarui laporan pengujian.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
CreateProject
**Tindakan:**`codebuild:CreateProject`, `iam:PassRole`
Diperlukan untuk membuat proyek pembangunan.
**Sumber Daya:**
+ `arn:aws:codebuild:region-ID:account-ID:project/project-name `
+ `arn:aws:iam::account-ID:role/role-name `
CreateReport¹
**Tindakan:** `codebuild:CreateReport`
Diperlukan untuk membuat laporan pengujian.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
CreateReportGroup
**Tindakan:** `codebuild:CreateReportGroup`
Diperlukan untuk membuat grup laporan.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
CreateWebhook
**Tindakan:** `codebuild:CreateWebhook`
Diperlukan untuk membuat webhook.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
DeleteProject
**Tindakan:** `codebuild:DeleteProject`
Diperlukan untuk menghapus CodeBuild proyek.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
DeleteReport
**Tindakan:** `codebuild:DeleteReport`
Diperlukan untuk menghapus laporan.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
DeleteReportGroup
**Tindakan:** `codebuild:DeleteReportGroup`
Diperlukan untuk menghapus grup laporan.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
DeleteSourceCredentials
**Tindakan:** `codebuild:DeleteSourceCredentials`
Diperlukan untuk menghapus sekumpulan `SourceCredentialsInfo` objek yang berisi informasi tentang kredensyal untuk repositori GitHub, Server GitHub Perusahaan, atau Bitbucket.
**Sumber daya:** `*`
DeleteWebhook
**Tindakan:** `codebuild:DeleteWebhook`
Diperlukan untuk membuat webhook.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
DescribeTestCases
**Tindakan:** `codebuild:DescribeTestCases`
Diperlukan untuk mengembalikan daftar kasus uji paginasi.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
ImportSourceCredentials
**Tindakan:** `codebuild:ImportSourceCredentials`
Diperlukan untuk mengimpor sekumpulan `SourceCredentialsInfo` objek yang berisi informasi tentang kredensyal untuk repositori GitHub, Server GitHub Perusahaan, atau Bitbucket.
**Sumber daya:** `*`
InvalidateProjectCache
**Tindakan:** `codebuild:InvalidateProjectCache`
Diperlukan untuk mengatur ulang cache untuk sebuah proyek.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
ListBuildBatches
**Tindakan:** `codebuild:ListBuildBatches`
Diperlukan untuk mendapatkan daftar batch build IDs.
**Sumber daya:** `*`
ListBuildBatchesForProject
**Tindakan:** `codebuild:ListBuildBatchesForProject`
Diperlukan untuk mendapatkan daftar kumpulan build IDs untuk proyek tertentu.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:project/project-name`
ListBuilds
**Tindakan:** `codebuild:ListBuilds`
Diperlukan untuk mendapatkan daftar build IDs.
**Sumber daya:** `*`
ListBuildsForProject
**Tindakan:** `codebuild:ListBuildsForProject`
Diperlukan untuk mendapatkan daftar build IDs untuk proyek build.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
ListCuratedEnvironmentImages
**Tindakan:** `codebuild:ListCuratedEnvironmentImages`
Diperlukan untuk mendapatkan informasi tentang semua gambar Docker yang dikelola oleh AWS CodeBuild.
**Sumber daya:** `*` (diperlukan, tetapi tidak mengacu pada sumber daya yang dapat dialamatkan AWS )
ListProjects
**Tindakan:** `codebuild:ListProjects`
Diperlukan untuk mendapatkan daftar nama proyek build.
**Sumber daya:** `*`
ListReportGroups
**Tindakan:** `codebuild:ListReportGroups`
Diperlukan untuk mendapatkan daftar grup laporan.
**Sumber daya:** `*`
ListReports
**Tindakan:** `codebuild:ListReports`
Diperlukan untuk mendapatkan daftar laporan.
**Sumber daya:** `*`
ListReportsForReportGroup
**Tindakan:** `codebuild:ListReportsForReportGroup`
Diperlukan untuk mendapatkan daftar laporan untuk grup laporan.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
RetryBuild
**Tindakan:** `codebuild:RetryBuild`
Diperlukan untuk mencoba lagi build.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
StartBuild
**Tindakan:** `codebuild:StartBuild`
Diperlukan untuk mulai menjalankan build.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
StopBuild
**Tindakan:** `codebuild:StopBuild`
Diperlukan untuk mencoba berhenti menjalankan build.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
UpdateProject
**Tindakan:**`codebuild:UpdateProject`, `iam:PassRole`
Diperlukan untuk mengubah informasi tentang build.
**Sumber Daya:**
+ `arn:aws:codebuild:region-ID:account-ID:project/project-name `
+ `arn:aws:iam::account-ID:role/role-name `
UpdateProjectVisibility
**Tindakan:**`codebuild:UpdateProjectVisibility`, `iam:PassRole`
Diperlukan untuk mengubah visibilitas publik dari bangunan proyek.
**Sumber Daya:**
+ `arn:aws:codebuild:region-ID:account-ID:project/project-name `
+ `arn:aws:iam::account-ID:role/role-name `
UpdateReport¹
**Tindakan:** `codebuild:UpdateReport`
Diperlukan untuk membuat atau memperbarui laporan pengujian.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
UpdateReportGroup
**Tindakan:** `codebuild:UpdateReportGroup`
Diperlukan untuk memperbarui grup laporan.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:report-group/report-group-name `
UpdateWebhook
**Tindakan:** `codebuild:UpdateWebhook`
Diperlukan untuk memperbarui webhook.
**Sumber daya:** `arn:aws:codebuild:region-ID:account-ID:project/project-name `
¹ Digunakan hanya untuk izin. Tidak ada API untuk tindakan ini.
# Menggunakan tag untuk mengontrol akses ke AWS CodeBuild sumber daya
Kondisi dalam pernyataan kebijakan IAM adalah bagian dari sintaks yang dapat Anda gunakan untuk menentukan izin untuk CodeBuild tindakan berbasis proyek. Anda dapat membuat kebijakan yang mengizinkan atau menolak tindakan pada proyek berdasarkan tag yang terkait dengan proyek tersebut, lalu menerapkan kebijakan tersebut ke grup IAM yang Anda konfigurasikan untuk mengelola pengguna. Untuk informasi tentang menerapkan tag ke proyek menggunakan konsol atau AWS CLI, lihat[Buat proyek build di AWS CodeBuild](create-project.md). Untuk informasi tentang menerapkan tag menggunakan CodeBuild SDK, lihat [CreateProject ](https://docs.aws.amazon.com/codebuild/latest/APIReference/API_CreateProject.html#API_CreateProject_RequestSyntax)dan [Tag](https://docs.aws.amazon.com/codebuild/latest/APIReference/API_Tag.html) di *Referensi CodeBuild API*. Untuk informasi tentang penggunaan tag untuk mengontrol akses ke AWS sumber daya, lihat [Mengontrol Akses ke AWS Sumber Daya Menggunakan Tag Sumber Daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) di *Panduan Pengguna IAM*.
**penting**
Saat menggunakan fitur kapasitas cadangan, data yang di-cache pada instance armada, termasuk file sumber, lapisan Docker, dan direktori cache yang ditentukan dalam buildspec, dapat diakses oleh proyek lain dalam akun yang sama. Ini dirancang dan memungkinkan proyek dalam akun yang sama untuk berbagi instance armada.
**Example Contoh 1: Batasi tindakan CodeBuild proyek berdasarkan tag sumber daya**
Contoh berikut menyangkal semua `BatchGetProjects` tindakan pada proyek yang ditandai dengan kunci `Environment` dengan nilai kunci. `Production` Administrator pengguna harus melampirkan kebijakan IAM ini selain kebijakan pengguna terkelola untuk pengguna yang tidak sah. Kunci `aws:ResourceTag` kondisi digunakan untuk mengontrol akses ke sumber daya berdasarkan tag mereka.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"codebuild:BatchGetProjects"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:ResourceTag/Environment": "Production"
}
}
}
]
}
```
**Example Contoh 2: Batasi tindakan CodeBuild proyek berdasarkan tag permintaan**
Kebijakan berikut menolak izin pengguna untuk `CreateProject` tindakan jika permintaan berisi tag dengan kunci `Environment` dan nilai `Production` kunci. Selain itu, kebijakan mencegah pengguna yang tidak sah ini memodifikasi proyek dengan menggunakan kunci `aws:TagKeys` kondisi untuk tidak mengizinkan `UpdateProject` jika permintaan berisi tag dengan kunci. `Environment` Administrator harus melampirkan kebijakan IAM ini selain kebijakan pengguna terkelola kepada pengguna yang tidak berwenang untuk melakukan tindakan ini. Kunci `aws:RequestTag` kondisi digunakan untuk mengontrol tag mana yang dapat diteruskan dalam permintaan IAM
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"codebuild:CreateProject"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:RequestTag/Environment": "Production"
}
}
},
{
"Effect": "Deny",
"Action": [
"codebuild:UpdateProject"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": ["Environment"]
}
}
}
]
}
```
**Example Contoh 3: Tolak atau izinkan tindakan pada grup laporan berdasarkan tag sumber daya**
Anda dapat membuat kebijakan yang mengizinkan atau menolak tindakan pada CodeBuild sumber daya (proyek dan grup laporan) berdasarkan AWS tag yang terkait dengan sumber daya tersebut, lalu menerapkan kebijakan tersebut ke grup IAM yang Anda konfigurasikan untuk mengelola pengguna. Misalnya, Anda dapat membuat kebijakan yang menolak semua CodeBuild tindakan pada grup laporan apa pun dengan kunci AWS tag `Status` dan nilai kunci`Secret`, lalu menerapkan kebijakan tersebut ke grup IAM yang Anda buat untuk pengembang umum ()*Developers*. Anda kemudian perlu memastikan bahwa pengembang yang bekerja pada grup laporan yang diberi tag tersebut bukan anggota *Developers* grup umum tersebut, melainkan milik grup IAM yang berbeda yang tidak memiliki kebijakan restriktif yang diterapkan (). `SecretDevelopers`
Contoh berikut menyangkal semua CodeBuild tindakan pada grup laporan yang ditandai dengan kunci `Status` dan nilai kunci: `Secret`
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"codebuild:BatchGetReportGroups",
"codebuild:CreateReportGroup",
"codebuild:DeleteReportGroup",
"codebuild:ListReportGroups",
"codebuild:ListReportsForReportGroup",
"codebuild:UpdateReportGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestedRegion": "us-east-1"
}
}
}
]
}
```
**Example Contoh 4: Batasi CodeBuild tindakan AWSCode BuildDeveloperAccess berdasarkan tag sumber daya**
Anda dapat membuat kebijakan yang mengizinkan CodeBuild tindakan pada semua grup laporan dan proyek yang tidak ditandai dengan tag tertentu. Misalnya, kebijakan berikut memungkinkan [AWSCodeBuildDeveloperAccess](auth-and-access-control-iam-identity-based-access-control.md#developer-access-policy) izin yang setara untuk semua grup laporan dan proyek kecuali yang ditandai dengan tag yang ditentukan:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codebuild:StartBuild",
"codebuild:StopBuild",
"codebuild:BatchGet*",
"codebuild:GetResourcePolicy",
"codebuild:DescribeTestCases",
"codebuild:List*",
"codecommit:GetBranch",
"codecommit:GetCommit",
"codecommit:GetRepository",
"codecommit:ListBranches",
"cloudwatch:GetMetricStatistics",
"events:DescribeRule",
"events:ListTargetsByRule",
"events:ListRuleNamesByTarget",
"logs:GetLogEvents",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:ResourceTag/Status": "Secret",
"aws:ResourceTag/Team": "Saanvi"
}
}
}
]
}
```
# Menampilkan sumber daya di konsol
AWS CodeBuild Konsol memerlukan `ListRepositories` izin untuk menampilkan daftar repositori untuk AWS akun Anda di AWS Wilayah tempat Anda masuk. Konsol juga termasuk fungsi **Pergi ke sumber daya** untuk secara cepat melakukan pencarian sensitif huruf besar/kecil untuk sumber daya. Pencarian ini dilakukan di AWS akun Anda di AWS Wilayah tempat Anda masuk. Sumber daya berikut ditampilkan di seluruh layanan berikut:
+ AWS CodeBuild: Bangun proyek
+ AWS CodeCommit: Repositori
+ AWS CodeDeploy: Aplikasi
+ AWS CodePipeline: Alur
Untuk melakukan pencarian ini di sumber daya di semua layanan, Anda harus memiliki izin berikut:
+ CodeBuild: `ListProjects`
+ CodeCommit: `ListRepositories`
+ CodeDeploy: `ListApplications`
+ CodePipeline: `ListPipelines`
Hasil tidak dikembalikan untuk sumber daya layanan jika Anda tidak memiliki izin untuk layanan tersebut. Bahkan jika Anda memiliki izin untuk melihat sumber daya, beberapa sumber daya tidak dikembalikan jika ada eksplisit `Deny` untuk melihat sumber daya tersebut.